本文目录一览:
收到网络恶意攻击的都是企业吗
一般行业的头部公司受人嫉妒会受到攻击
研究人员表示在过去6个月中网络攻击所造成的破坏力翻倍,而且受影响的组织中有50%属于制造业。基于近阶段的网络攻击,本周一IBM的X-ForceIRIS事件响应团队发布了新的安全研究报告,强调破坏型恶意软件正在快速爆发。通过对恶意代码的分析发现,诸如Industroyer,NotPetya或Stuxnet在内的恶意程序不再是纯碎的窃取数据和秘密监控,而是造成更有破坏力的伤害。这些破坏行为包括锁定系统、让PC崩溃、渲染服务不可操作以及删除文件等等。
恶意软件的对付方法
恶意软件可以采取不同的形式,从广义上讲,最臭名昭著的莫过于特洛伊木马、rootkit、后门软件等,病毒和蠕虫也可以看作恶意软件。有些形式的威胁具有某几种恶意软件的特征。
因为恶意软件由多种威胁组成,所以需要采取多处方法和技术来保卫系统。如采用防火墙来过滤潜在的破坏性代码,采用垃圾邮件过滤器、入侵检测系统、入侵防御系统等来加固网络,加强对破坏性代码的防御能力。
作为一种最强大的反恶意软件防御工具,反病毒程序可以保护计算机免受病毒、蠕虫、特洛伊木马的威胁。近几年来,反病毒软件的开发商已经逐渐将垃圾邮件和间谍软件等威胁的防御功能集成到其产品中。除了这些技术手段之外,企业应当采取措施防止恶意软件在单位网络内传播:
1、教育员工正确使用电子邮件和Web
具体来说,特别要注意:
要教育雇员,如果不知道邮件的来源和附件的属性,不要打开邮件中的附件。
告诉员工不要从互联网下载和安装未获得授权的程序。
让雇员清楚社会工程欺诈的骗术,提防其欺骗雇员点击受感染链接的伎俩。
教育雇员了解最新的攻击手段,学习公司的安全策略和建议,并坚决执行。
2、禁止或监督非web源的协议在企业网络内使用
如禁止或限制即时通信及端到端的协议进入企业网络,这些正是僵尸等恶意软件得以通信和传播的工具。
3、确保在所有的桌面系统和服务器上安装最新的浏览器、操作系统、应用程序补丁,并确保垃圾邮件和浏览器的安全设置达到适当水平。
4、确保安装所有的安全软件,并及时更新并且使用最新的威胁数据库。
5、不要授权普通用户使用管理员权限,特别要注意不要让其下载和安装设备驱动程序,因为这正是许多恶意软件乘虚而入的方式。
6、制定处理恶意事件的策略,在多个部门组建可实现协调响应职责并能够定期执行安全培训的团队。
恶意软件威胁经过几年的发展已经成为一种强大的势力,更确切地说它已经成为一种受经济利益驱使的商业活动;而反恶意软件厂商由于受到各种因素的制约,应对和反击措施相对被动。并且前者在暗处,后者在明处,形式对反恶意软件的开发者不利。但两种力量的斗争将持续下去。
企业安全遭受攻击的迹象有哪些?
1、不寻常的出站网络流量
也许最大的迹象就是不寻常的出站网络流量。
“常见的误解是网络内部的流量都是安全的,”AlgoSec公司高级安全战略家Sam Erdheim表示,“查看离开网络的可疑的流量,我们不仅要关注进入网络的流量,而且还要注意出站流量。
”对于现代攻击,企业很难阻止攻击者进入网络,因此,企业更应该关注出站流量。
NetIQ公司解决方案战略主管Geoff Webb表示:“所以,最好的办法是检查网络内部的活动,以及检查离开网络的流量。
受攻击的系统通常会呼叫命令控制服务器,你可以密切关注这种流量,以阻止攻击。
”
2、特权用户账户活动异常
在精心策划的攻击中,攻击者要么提升他们已经攻击的账户的权限,要么使用攻击的账户进入更高权限的其他账户。
从特权账户查看不寻常的账户行为不仅能够发现内部攻击,而且还可以发现账户被控制。
Webb表示,“特权用户行为的变化可能表明其他人正在使用该账户来攻击你的网络,企业应该关注账户变化,例如活动时间、访问的系统,访问的信息的类型或数量。
”
3、地理异常
无论是否是通过特权账户,登录和访问中的地理异常也可以表明攻击者正在试图从很远的地方进行攻击。
例如,企业发现正在与没有业务往来的国家之间的流量往来时,应该进行调查。
ThreatTrack Security公司安全内容管理主管Dodi Glenn表示,同时,当账户在短时间内从世界各地不同IP登录,这可能是攻击的迹象。
4、登录异常和失败
登录异常和失败可以提供很好的线索来发现攻击者对网络和系统的探测。
Beachhead Solutions公司产品专家Scott Pierson表示,多次登录失败也可能标志着攻击的发生,检查使用不存在的用户账户的登录,这通常表明有人试图猜测用户的账户信息以及获得身份验证。
同样的,在下班时间尝试获得成功登录也可能表明,这不是真正的员工在访问数据。
企业应该对此进行调查。
5、数据库读取量激增
当攻击者入侵企业并试图渗出信息时,你可能会发现数据存储中的变化。
其中之一就是数据库读取量激增。
瞻博网络首席软件架构师Kyle Adams表示:“当攻击者试图提取完整的信用卡数据时,他会产生巨大的读取量,这肯恩比你通常看到的信用卡读取高出很多。
”
6、HTML响应大小
Adams还表示,如果攻击者使用SQL注入来通过web应用程序提取数据的话,攻击者发出的请求通常会包含比正常请求更大的HTML响应。
他表示:“例如,如果攻击者提取全部的信用卡数据库,那么,对攻击者的单个响应可能会是20MB到50MB,而正常响应是200KB。
”
7、大量对相同文件的请求
攻击者需要进行大量的试验和犯错才能发动攻击,他们需要尝试不同的漏洞利用来找到一个入口。
当他们发现某个漏洞利用可能会成功时,他们通常会使用不同的排列组合来启动它。
Adams表示,“因此,他们攻击的URL可能在每个请求上会有所改变,但实际的文件名部分可能会保持不变,你可能会看到单个用户或IP对‘join.php’进行500次请求,而正常情况下,单个IP或用户最多只会请求几次。
”
8、不匹配的端口应用流量
攻击者经常利用模糊的端口来绕过更简单的web过滤技术。
所以,当应用程序使用不寻常的端口时,这可能表明命令控制流量正在伪装成“正常”的应用程序行为。
Rook Consulting公司SOC分析师Tom Gorup表示,“我们可能会发现受感染的主机发送命令控制通信到端口80,它们伪装成DNS请求,乍一看,这些请求可能像是标准DNS查询;然而,你仔细看的话,你会发现这些流量通过非标准的端口。
”
9、可疑的注册表或系统文件的更改
恶意软件编写者在受感染主机内保持长期存在的方法之一是通过注册表的更改。
当应对基于注册表的IOC时,创建基线是最重要的部分,Gorup表示,“定义正常的注册表应该包含的内容,这基本上创建了一个过滤器。
监测和警报偏离正常模板的变更,将提高安全团队的响应时间。
”同样地,很多攻击者可能会留下迹象表明,他们已经篡改了主机的系统文件和配置,企业可以通过查看这些变化来快速发现受感染系统。
他表示,“可能发生的情况是,攻击者将安装数据包嗅探软件来获取信用卡数据,攻击者会瞄准可以查看网络流量的系统,然后安装这种工具。
虽然捕捉这种攻击的机会很渺茫(因为它们非常具有针对性,可能以前没有见到过),但企业可以发现系统的变更。
”
10、DNS请求异常
根据Palo Alto公司高级安全分析师Wade Williamson表示,企业应该查看的最有效的攻击迹象是,恶意DNS请求留下的告密者模式。
他表示,“命令控制流量通常对于攻击者是最重要的流量,因为它允许他们持续管理攻击,并且,他们需要保护这种流量,以确保安全专家不会轻易发现,企业应该识别这种流量的独特模式,因为它能够用来发现攻击活动。
”他表示,“当来自特定主机的DNS请求明显增加时,这可能表明潜在的可疑行为,查看到外部主机的DNS请求模式,将其与地理IP和声誉数据对照,并不熟适当的过滤,可以帮助缓解通过DNS的命令控制。
”
11、莫名其妙的系统漏洞修复
系统修复通常是好事情,但如果系统突然毫无征兆地进行修复,这可能表明攻击者正在锁定系统,使其他攻击者不能使用它来进行其他犯罪活动。
“大多数攻击者试图利用你的数据来赚钱,他们当然不希望与其他人分享胜利果实,”Webb表示。
12、移动设备配置文件变更
随着攻击者转移到移动平台,企业应该关注移动用户的设备配置中的不寻常的变更。
他们还应该查看正常应用程序的变更,更换成可能携带中间人攻击或者诱使用户泄露其登陆凭证的程序。
Marble Security公司创始人兼首席信息官Dave Jevans表示,“如果托管移动设备获得一个新的配置文件,而不是由企业提供的,这可能表明用户的设备以及其企业登陆凭证受到感染,这些配置文件可能通过钓鱼攻击或者鱼叉式钓鱼攻击被安装在移动设备上。
”
13、数据位于错误的位置
根据EventTracker的Ananth表示,攻击者通常在尝试渗出之前,会将数据放在系统的收集点。
如果你突然看到千兆级信息和数据位于错误的位置,并且以你们公司没有使用的压缩格式,这就表明攻击的存在。
通常情况下,当文件位于不寻常的位置时,企业应该进行严格审查,因为这可能表明即将发生数据泄露事故。
HBGary公司威胁情报主管Matthew Standart表示:“在奇怪位置的文件,例如回收站的根文件夹内,很难通过Windows发现,但这些可以通过精心制作的指示器来查找。
”
14、非人类行为的web流量
Blue Coat公司威胁研究主管Andrew Brandt表示,与正常人类行为不匹配的web流量不应该通过嗅探测试。
他表示,“你在什么情况下会同时打开不同网站的20个或者30个浏览器窗口?感染了不同点击欺诈恶意软件的计算机可能会在短时间内产生大量Web流量。
例如,在具有锁定软件政策的企业网络中,每个人都只能使用一种浏览器类型,分析师可能会发现这样的web会话,用户代理字符显示用户在使用企业不允许的浏览器类型,或者甚至不存在的版本。
”
15、DDoS攻击活动的迹象
分布式拒绝服务攻击(DDoS)经常被攻击者用作烟雾弹来掩饰其他更恶劣的攻击。
如果企业发现DDoS的迹象,例如缓慢的网络性能、无法使用网站、防火墙故障转移或者后端系统莫名其妙地以最大容量运行,他们不应该只是担心这些表面的问题。
Corero Network Security公司首席执行官Ashley Stephenson表示,“除了超负荷主流服务外,DDoS攻击通常还会‘压垮’安全报告系统,例如IPS/IDS或者SIEM解决方案,这可以让攻击者植入恶意软件或窃取敏感数据。
因此,任何DDoS攻击都应该被视为相关数据泄露活动的迹象。
”
常见的网络攻击类型有哪些?
企业最容易遭受的5种网络攻击类型:
1、恶意社交工程-软件
经过社交工程设计的恶意软件形成了第一大攻击方法。最终用户常常被诱骗去运行特洛伊木马程序,通常是在他们经常访问和信任的伪装网站上。
恶意网站让用户安装一些新软件,以便访问该网站,比如更新flash等常规操作,运行伪造的防病毒软件或运行其他不必要且恶意的木马软件。通常会指示用户单机浏览或操作系统发出的任何安全警告,并禁用可能的防御措施。
有时,木马程序伪装成合法的程序,而有时它会消失在后台运行,开始执行其恶意行为。恶意社交工程软件程序每年导致成千上万的黑客入侵。相对于这些数字,所有其他黑客攻击类型都是冰山一角。
2、网络钓鱼攻击
大约60%到70%的电子邮件都是垃圾邮件,其中大部分是网络钓鱼攻击邮件,旨在诱骗用户脱离其正常登录网站。幸运的是,反垃圾邮件供应商和服务取得了长足的进步,因此我们大多数人的收件箱都比较整洁。但是,很多人每天都会收到几封垃圾邮件,而每周至少有几十封垃圾邮件都是合法电子邮件的仿品。
网络钓鱼电子邮件是一种被破坏的艺术品。它甚至会虚伪的警告读者不要沉迷于欺诈性电子邮件。而它唯一的目的是流氓链接,下一步就是要用户提供机密信息。
3、未及时更新打补丁的软件
紧随恶意社会工程软件和网络钓鱼的是漏洞的软件。最常见的是未打补丁和最容易被黑客利用的程序是浏览器加载项程序,比如:Adobe
Reader,以及人们经常用来使网站冲浪更容易的其他程序。多年来很多黑客一直采用这种方式,但奇怪的是,我看过的无数家公司都没有及时的打上补丁,也没有应对的安全软件。
4、社交媒体威胁
我们的世界是一个社交世界,由Facebook、微信、微博或在其国家/地区受欢迎的同行领袖。黑客喜欢利用公司社交媒体账户,这是通过来收集可能在社交媒体网站和公司网络之间共享的密码因素。当今许多最严重的黑客攻击都是从简单的社交媒体攻击开始的。不要小看其潜力,很多个人、企业以及明星,或者国家机构的账号都曾被黑客恶意使用过。
5、高级持续威胁
高级持续威胁(APT)是由犯罪分子或民族国家实施的网络攻击,目的是在很长一段时间内窃取数据或监视系统。攻击者具有特定的目标和目的,并花费了时间和资源来确定他们可以利用哪些漏洞来获取访问权限,并设计可能很长时间未发现的攻击。该攻击通常包括使用自定义恶意软件。
APT的动机可能是经济利益或政治间谍。APT最初主要与想要窃取政府或工业机密的民族国家行为者联系在一起。网络犯罪分子现在使用APT窃取他们可以出售或以其他方式货币化的数据或知识产权。
APT黑客和恶意软件比以往任何时候都更为普遍和复杂。对于一些为政府或相关行业服务的专业黑客,他们的全职工作是黑客攻击特定的公司和目标。他们执行与自己的赞助者的利益相关的动作,包括访问机密信息,植入破坏性代码或放置隐藏的后门程序,使他们可以随意潜入目标网络或计算机。
企业遭到DDoS攻击可以通过哪些手段进行防御?
常用的防御措施有以下三种:
软件防火墙
防止DDoS攻击的最简单(虽然并非最有效的)方法是简单地在服务器上使用软件防火墙,或者通过设置相关脚本,过滤掉这些异常流量。企业可以使用简单的命令和专用服务器的软件防火墙来获取攻击者的IP地址、与服务器的连接数,并将其屏蔽。这种方法适用于流量较小的骚扰型DDoS攻击,很多服务器供应商也会在数据中心部署这样的软件防火墙以保护网络,不过防御流量比较小,一旦超过服务商就会触发黑洞策略。当遭受到更大规模更复杂的攻击时,应该选择更专业更具针对性的DDoS防护方案。
高防服务器
除了软件防火墙,我们常见的防御手段还有硬防--高防服务器。高防服务器是指独立单个防御50G以上的服务器类型,一旦超过这个防御流量就也扛不住了,而且硬件成本非常高,中小型企业一般负担不起,只有那些大型企业才会选择这种防御方式。
高防IP
高防IP是通过把域名解析到高防IP上,并配置源站IP。所有公网流量都经过高防IP机房,通过端口协议转发的方式将访问流量通过高防IP转发到源站IP,同时将恶意攻击流量在高防IP上进行清洗过滤后将正常流量返回给源站IP,从而确保源站IP稳定访问。这种防御方式防御能力够强且成本低,是大部分企业选择的DDOS防御措施。